2021年10月10日 Fin-JAWS 第23回 勉強会での登壇資料です。

1. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
金融クラウド動向 2021
高野 敦史
金融事業開発本部
コンプライアンス スペシャリスト

2. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
2
ご挨拶
米国公認会計士
(USCPA)
公認情報システム監査人
(CISA)
公認情報セキュリティマネージャー
(CISM)
公認ITガバナンス専門家
(CGEIT)
高野 敦史 コンプライアンス・スペシャリスト
メガバンクにてシステム企画・導入、米系大手監査法人で金融機関の財務諸表/システム
監査、内部統制評価、SOCレポート発行業務等に従事。その後、米系大手コンサルティング
ファームでセキュリティ・リスク支援領域のジャパン統括を経て、2019年11月にAWS入社、
AWS利用における規制やコンプライアンス対応支援を担当
AWSコンプライアン関連の支援
• AWSの各種コンプライアンス・プログラムの提供
• クラウドにかかる規制動向の説明
• 個社別コンプライアンス・アップデートの定期開催
• グローバルの規制に関する情報提供
• クラウドに関する不安、課題、疑問等のＱ＆Ａ
AWSコンプライアンス勉強会
• 第三者保証報告書（SOCレポート）の読み方 等

3. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
昨年12月にお伝えしたこと

4. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
金融庁： IT ガバナンス等に関する調査結果レポート
4
2021年6月30日 –金融庁のレポート レポートの背景
本文：https://www.fsa.go.jp/news/r2/20210630/it_02.pdf
概要：https://www.fsa.go.jp/news/r2/20210630/it_01.pdf
• 2019年6月にITガバナンスに関するレポートを公表、今年もテーマとしては
大きな変更はないが、より踏み込んだ内容となっている
① 共同センターのあり方
② グローバルITガバナンス
③ モニタリング
• また、クラウドについて触れている箇所は昨年よりも増えておりクラウドへの
注目度が高まっている

5. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
クラウドへの関心は増加傾向
⚫ 近年、パブリッククラウドに次世代勘定系システムを移行する先進的な取組みが見られる（P12）
➢ 基幹系システム・フロントランナー・サポートハブを通じた支援をしている
⚫ 今後、金融機関とクラウド事業者が相互に協力し、機密性の高いデータも取り扱えるより安全・安心なサービスを提供する
ことや、システム障害時などは即時に個別の金融機関が対応できる体制を整えるなど、金融機関が抱えている懸念を払拭
できるような取組みが重要だと考えられる（P12）
⚫ 勘定系システムに勘定処理以外の様々な機能を盛り込んだ結果、システムが複雑化・肥大化している。次世代の基幹系
システムにおいては、API接続の利用や疎結合なシステム構成などを用いて、これらの課題を解消していくことが求められる
（概要P2）
⚫ 新技術の活用に伴うリスクへの対応として、例えば、クラウドサービスの利用については、 CCoE (Cloud Center of
Excellence)設置による社内サポートなどによるリスク・コントロールやSOC2レポートなどの監査レポートによるセキュリティ管
理状況の確認を実施している（P21）
昨年度
49回
今年度
72回
「クラウド」というワードの登場回数

6. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
勘定系システムの新技術対応の方向性
 金融機関における現行の勘定系
システムについては、長年、メインフ
レームを利用した勘定系システムが
中心であったが、昨今、オープン系
システムを利用した勘定系システム
も見られる（P19）
 システムコストが高くなっている要因
として、勘定系システムに様々な機
能を盛り込んだ結果、システムが複
雑化・肥大化していることが、一因
であると推測される。従って、次世
代の基幹系システムにおいては、
API接続の利用や、疎結合なシス
テム構成などを用いて、これらの課
題を解消していくことが求められる
（「概要」P2）
金融庁：https://www.fsa.go.jp/news/r2/20210630/it_02.pdf (P20)

7. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
「クラウド利用に対する懸念」 - アンケート調査 -
2020年 2021年
クラウドサービスの機密性 87
セキュリティ事故発生時の対応 85
クラウドサービスの可用性 68
クラウドベンダーの監査受⼊態勢 63
ベンダーロックイン 50
データ所在地 50
クラウドサービス利用による長期的コスト増加 47
クラウドサービスの契約内容の画一性 45
クラウドベンダーの事業継続性 40
準拠法、裁判管轄 38
金融監督当局の検査・監督方針 33
自社要員のスキル低下 25
セキュリティ事故発生時の対応 91
クラウドサービスの機密性 88
クラウドサービスの可用性 67
クラウドベンダーの監査受⼊態勢 62
データ所在地 54
ベンダーロックイン 51
クラウドサービスの契約内容の画一性 45
金融監督当局の検査・監督方針 45
クラウド特有の技術の習得及び最新技術への対応 44
クラウドベンダーの事業継続性 44
クラウドサービス利用による長期的コスト増加 42
準拠法、裁判管轄 32
自社要員のスキル低下 29
マルチクラウドによる管理レベルの差 27
地銀104行 地銀103行
金融庁「金融機関のITガバナンス等に関する調査結果レポート」P12をもとに編集

8. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
日本の金融に安心安全を

9. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
2015年、日本版「CBEST」の必要性を説明
脅威ベースのペネトレーションテスト(TLPT)

10. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
「脅威ベースのペネトレーションテスト」で一番大切なこと
自分たちを狙う「攻撃者」を特定する
その特定した「攻撃者」が何を狙っているかを知る
95
68
77
50
85 85
99
72
80
45
81 87
97
78 82
65
83
90
生産、製造情報 財務情報 知的財産 個人情報 企業情報 R&D情報
脅
威
ス
コ
ア
事業部A 事業部B 事業部C
123
69
89
34 40
99
113
75
91
35
48
101
125
60
88
36
45
90
国家系犯罪組織 独立犯罪組織 内部関係者 ハッカー ハクティビスト 競合他社
脅
威
ス
コ
ア
事業部A 事業部B 事業部C
わが社を狙っている
攻撃者は誰か？
攻撃者はわが社の
どんな情報を狙って
いるか？

11. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Worldwide | N. America | LATAM | UK/IR | EMEA | APAC | Japan |
Thank you!